Konfigurieren von Zugriffssteuerungslisten für NFSv4.1-Volumes mit Azure NetApp Files

Azure NetApp Files unterstützt Zugriffssteuerungslisten (Access Control Lists, ACLs) für NFSv4.1-Volumes. ACLs bieten präzise Dateisicherheit über NFSv4.1.

ACLs enthalten Zugriffssteuerungsentitäten (Access Control Entities, ACEs), die die Berechtigungen (Lesen, Schreiben usw.) einzelner Benutzer oder Gruppen angeben. Geben Sie beim Zuweisen von Benutzerrollen die E-Mail-Adresse des Benutzers an, wenn Sie eine Linux-VM verwenden, die einer Active Directory-Domäne beigetreten ist. Stellen Sie andernfalls Benutzer-IDs zum Festlegen von Berechtigungen bereit.

Weitere Informationen zu ACLs in Azure NetApp Files finden Sie unter Grundlegendes zu NFSv4.x-ACLs.

Anforderungen

• ACLs können nur auf NFS4.1-Volumes konfiguriert werden. Sie können ein Volume von NFSv3 in NFSv4.1 konvertieren.

• Sie müssen zwei Pakete installiert haben:

  1. nfs-utils zum Einbinden von NFS-Volumes
  2. nfs-acl-tools, um NFSv4-ACLs anzuzeigen und zu ändern. Wenn Sie eines nicht haben, installieren Sie es:
     • Red Hat Enterprise Linux- oder SuSE Linux-Instanz:

     sudo yum install -y nfs-utils
     sudo yum install -y nfs4-acl-tools
     

     • Ubuntu- oder Debian-Instanz:

     sudo apt-get install nfs-common
     sudo apt-get install nfs4-acl-tools
     

Konfigurieren von ACLs

1. Wenn Sie ACLs für eine Linux-VM konfigurieren möchten, die mit Active Directory verbunden ist, führen Sie die Schritte in Verknüpfen einer Linux-VM mit einer Microsoft Entra-Domäne aus.

2. Binden Sie das Volume ein.

3. Verwenden Sie den Befehl nfs4_getfacl <path>, um die vorhandene ACL in einem Verzeichnis oder einer Datei anzuzeigen.

   Die NFSv4.1-Standard-ACL ist eine recht nahe Darstellung der POSIX-Berechtigungen von 770.

   • A::OWNER@:rwaDxtTnNcCy: Der Besitzer verfügt über vollständigen Zugriff (RWX).
   • A:g:GROUP@:rwaDxtTnNcy: Die Gruppe verfügt über vollständigen Zugriff (RWX).
   • A::EVERYONE@:tcy: Alle anderen haben keinen Zugriff.

4. Um eine ACE für einen Benutzer zu ändern, verwenden Sie den Befehl nfs4_setfacl: nfs4_setfacl -a|x A|D::<user|group>:<permissions_alias> <file>

   • Verwenden Sie -a, um eine Berechtigung hinzuzufügen. Verwenden Sie -x, um eine Berechtigung zu entfernen.
   • A erstellt Zugriff; D verweigert den Zugriff.
   • Geben Sie in einem in Active Directory eingebundenen Setup eine E-Mail-Adresse für den Benutzer ein. Geben Sie andernfalls die numerische Benutzer-ID ein.
   • Berechtigungsaliase umfassen Lesen, Schreiben, Anfügen, Ausführen usw. Im folgenden Active Directory-eingebundenen Beispiel erhält der Benutzer regan@contoso.com Lese-, Schreib- und Ausführungszugriff auf /nfsldap/engineering:

   nfs4_setfacl -a A::regan@contoso.com:RWX /nfsldap/engineering
   

Nächste Schritte

• Konfigurieren von NFS-Clients
• Grundlagen zu NFSv4.x-ACLs.